Bedr - PowerPoint PPT Presentation

1 / 44
About This Presentation
Title:

Bedr

Description:

Title: Bedr gerier och intr ngsdetektering Author: emilie Last modified by: Ivar Haedde Created Date: 10/11/2004 11:20:09 AM Document presentation format – PowerPoint PPT presentation

Number of Views:126
Avg rating:3.0/5.0
Slides: 45
Provided by: emi6171
Category:
Tags: adress | bedr

less

Transcript and Presenter's Notes

Title: Bedr


1
Bedrägerier och intrångsdetektering
  • Emilie Lundin Barse
  • Datorteknik,
  • Chalmers Tekniska Högskola

2
Introduktion
  • Telekom-operatörer förlorar uppskattningsvis 3-6
    på grund av bedrägerier
  • Svårare att mäta för dataintrång
  • kostnad för stöld av hemlig information?
  • kostnad för nertid i systemet?
  • kostnad för dålig publicitet (t.ex. för banker)?
  • Finns kommersiella intrångsdetekteringssystem
    (IDS) och bedrägeridetekteringssystem (FDS/FMS)
  • Inte särskilt effektiva...
  • Händer intressanta saker inom forskningen

3
Innehåll
  • Bedrägerier och intrång
  • Hur detekteras intrång och bedrägerier?
  • Kommersiella detekteringssystem
  • Problem och möjligheter
  • Lagar, regler och etik
  • Framtiden

4
Bedrägerier och intrång
5
Definition av fraud (bedrägeri)
  • En medvetet vilseledande eller oriktig handling
    som resulterar i otillbörlig förmån/vinst åt sig
    själv eller någon annan
  • Definitionen inkluderar insiders
  • Fraud kan anses vara ett applikationsspecifikt
    specialfall av intrång
  • (Vi sysslar med bedrägerier mot tekniska system)

6
Bedrägerier historik
  • John Draper, 1972
  • Visslade till sig gratis-samtal med hjälpav en
    visselpipa (2600 Hz) från ett flingpaket(Blue
    boxing)
  • Kevin Poulsen, 1990
  • Lurade till sig en Porsche 944 S2 genomatt ta
    över alla inkommande telefonlinjer
    tillradiostationen KIIS-FM. (102nd caller)
  • Fortsatte med att vinna 1 Porsche till,
    22.000, två resor till Hawaii 5 år i fängelse.

7
Telekom-bedrägerier historik
  • Fraud i fast telefoni (från tidigt 1970-tal)
  • Clip-on fraud (mycket enkelt och fungerar ännu,
    kräver dock fysisk access till kablarna vilket
    begränsar missbruket).
  • Signalling abuse. Fungerar ej längre (i Sverige).
    Fungerade tidigare pga att signalering och trafik
    utnyttjade samma nät.
  • Payphone fraud. Manipulerade telefonautomater
    eller telefonkort.
  • Card fraud. Stulna kreditkortsnummer och PIN
    används för att ringa via en operatörs växel.
  • CPE (PBX). Kundväxlar där man kan utnyttja
    vidarekoppling och möjligheter till extern
    access.
  • Premium rate services (PRS). Missbruk av
    betalsamtal. T.ex. fejkade betaltjänster som man
    ringer från stulna telefoner/abonnemang.

8
Telekom-bedrägerier historik
  • Fraud i mobil telefoni (1980-tal och 1990-tal)
  • Eavesdropping. NMT-systemet hade ej kryptering.
  • Tumbling. Byte av telefonens serienummer medgav
    fri access till nätet. Bristfällig accesskontroll
    i de analoga mobiltelefonisystemen.
  • Cloning. Duplicering och förfalskning av
    SIM-kort. Gör att någon annan får betala för
    samtalen.
  • Subscription fraud. Teckning av abonnemang under
    falskt namn.
  • Call selling. En variant av subscription fraud
    med ett mer storskaligt syfte.
  • Roaming fraud. Utnyttjande av fördröjningar i
    kommunikation mellan roaming-partners.

9
Definition av intrång
  • En samling handlingar som utförs med avsikten
    att påverka integritet, sekretess eller
    tillgänglighet för en datorresurs
  • inkluderar förutom attacker med lyckat resultat
    också attackförberedelse och attackförsök

10
Typer av intrång
  • Vanliga typer
  • vanligast är troligtvis attacker som letar
    efter öppna portar och svagheter
  • port-scanning nmap
  • svaghets-scanning satan, saint, nessus
  • buffer overflow, heap overflow, integer overflow
    och varianter dominerar stort bland attacker som
    påverkar systemets integritet och sekretess
    (t.ex. ger administratörs-rättigheter)
  • attacker mot tillgängligheten (denial-of-service)
    är vanliga och svåra att skydda sig mot

11
Klassificering av intrång
  • Finns ingen klassificering av intrång som är
    användbar för att avgöra hur de ska detekteras
  • De som finns visar attackmetod, attackmål eller
    vilka delar av systemet som påverkas
  • T.ex. MIT Lincoln Labs klassificering, som
    användes för DARPAs IDS-testning
  • probe
  • remote-to-local
  • user-to-root
  • denial-of-service
  • data attack
  • Har visats att dessa klasser inte motsvarar hur
    väl en detektor kan detektera attackerna
    (Killourhy et al. 2004)
  • En viktig uppgift för säkerhetsforskare är att
    skapa en sådan klassificering

12
Hur detekteras intrång och bedrägerier?
13
Komponenter i ett detekteringssystem
Målsystem
14
Sensorer för intrångsdetektering
  • Nätverkstrafik för att detektera
    nätverks-attacker
  • Systemanrop för att detektera program som beter
    sig misstänkt
  • Användarkommandon för att upptäcka
    masquerading, dvs användarkonton som tagits
    över av angripare
  • Inloggningar för att veta vem som var inne i
    systemet vid tidpunkten för attacken
  • Vanligt att dela upp IDSer i nätverks-baserade
    och host-baserade

15
Sensorer för bedrägeridetektering
  • Samtalsinformation (call records) för att
    upptäcka misstänkt användarbeteende
  • Kundinformation för att upptäcka kunder som
    registrerat sig med falsk identitet (subscription
    fraud)
  • Betalningsinformation för att upptäcka höga
    kostnader eller avvikelser jämfört med andra
    informationskällor

kund-databas
samtals- register
betalnings-information
16
Detekteringsmetoder
  • Klassificering
  • skilja normala händelser från misstänkta
  • görs genom att man tar reda på hur normalbeteende
    eller attackbeteende ser ut
  • anomalidetektering utgå från normalbeteende
  • missbruksdetektering utgå från attackbeteende
  • inte alltid möjligt att få perfekt detektering,
    eftersom normala händelser överlappar med
    attackbeteende

statistisk fördelning för normalbeteende
statistisk fördelning för attackbeteende
parameter- värde
?
17
Detekteringsmetoder
A
B
Domestic
Commercial
C
Low
  • Regelbaserade/ mönstermatchning
  • Expertsystem
  • Tröskelvärden
  • Statistisk analys
  • Bayesianska nät
  • Neurala nät
  • Markov-modeller
  • ...

User
User
Income
E
D
F
Customer
Propensity
Bad
churn
to Fraud
Debt
H
I
G
Profile
Hot
Revenue
Change
Destinations
Loss
18
Vad är skillnaden mellan IDS och FDS?
  • FDS kan ses som ett applikationsspecifikt IDS
  • FDS måste anpassas till varje unik applikation
  • Inga standardiserade applikationer finns!
  • FDS definierar ofta larm-trösklar vilket
    förenklar detekteringsproblemet
  • En fördel med FD är att man enkelt kan väga
    investeringskostnaden mot dess nytta
  • Ett FDS detekterar konsekvensen av ett intrång
    eller missbruk
  • Ett FDS detekterar missbruk av en tjänsts
    affärslogik

19
Kommersiella system
20
Kommersiella system - FDS
  • Exempel från telekom (rapport från 2000)
  • Sheriff, British Telecom
  • Fraud office, Ericsson
  • Cerebrus, Nortel Networks
  • Compaq FMS, Compaq
  • ... (11 system har undersökts)
  • Indata
  • CDR (Call Data Record), CDR signaleringsdata,
    abonnent-databas, plats
  • Bedrägerier
  • subscription, bad dept, cloning, roaming,
    clip-on, call sell, prepaid, calling card,
    ...
  • 11 bedrägerier har undersökts i rapporten

21
Kommersiella system FDS (forts.)
  • Metoder
  • regelbaserad detektering (alla system)
  • användar-profilering (de flesta system)
  • AI/intelligenta metoder (några system)
  • hot lists
  • Detektering
  • några få har gett uppgift
  • lyckad detektering 50, 90, 95
  • falska larm 50, 60

22
Kommersiella system - IDS
  • Exempel (från Doidy 2004)
  • Snort open source, nätverksbaserat
  • Prelude open source, hybrid
  • LIDS open source, hostbaserat
  • ISS RealSecure finns både för nätverk och
    server
  • CISCO intrusion detection nätverksbaserat
  • ...
  • Indata
  • Nätverkstrafik, systemanrop, filsystemsinfo,
    brandväggsloggar, autentiseringsinfo, ...
  • Intrång
  • det finns inga system som specificerar vilka
    intrång de klarar och inte klarar?!

23
Kommersiella system IDS (forts.)
  • Metoder
  • regelbaserad detektering (alla system)
  • anomalidetektering (i vissa system som
    komplement)
  • Detektering
  • Finns inga vetenskapliga testresultat för
    kommersiella system
  • svårt att mäta detekteringsresultat och
    falsklarm, pga problem med att skaffa testdata
  • Bästa testet av IDSer är gjort av DARPA
  • genererade testdata genom simulering av många
    datorer, användare och attacker
  • testade forskningsprototyperna de har finansierat
  • detekteringsresultat på ca 40-100, mycket sämre
    för nya och smarta attacker
  • ca 10 falsklarm per dag (ev. högre på mer
    realistiska data)

24
Intrusion prevention systems
  • Nya inne-grejen
  • Gartner Group-rapport IDS is dead, long live
    IPS
  • orsakade en del rabalder
  • Lite oklar terminologi, kan betyda olika saker
  • Ofta avses IDS med automatisk återkoppling
  • konfigurera om brandvägg
  • avbryt TCP-uppkopplingar
  • stäng ner tjänster
  • stoppa systemanrop i realtid

25
Problem och möjligheter med detekteringssystem
26
De största praktiska problemen
  1. Falska larm
  2. Anpassning
  3. Detekteringsförmåga
  4. Skalbarhet
  5. Brist på mätmetoder

27
Problem 1
  • Falska larm
  • Många larm
  • Om detekteringen är 95 korrekt och det finns
    0.1 bedrägerier i den analyserade informationen
    så kommer 99 av alla larm att vara falsklarm!
  • Avvägning mellan att täcka in alla attacker och
    mängden falska larm man kan hantera
  • Tar mycket tid att utreda larm
  • Ingen skillnad mellan larm från attacker som
    drabbar aktiva/inaktiva IP-adresser eller
    känsliga/okänsliga system

28
Möjligheter 1
  • Korrelering av larm
  • högre trovärdighet till larm som rapporteras av
    mer än en källa
  • Root cause analysis
  • hitta orsaken till grupper av larm
  • att rapportera orsaken istället för larmen själva
    reducerar mängden larm kraftigt
  • (Avhandling, Julisch 2003)
  • Indata med lägre brus-nivå

29
Problem 2
  • Anpassning
  • Går inte att köpa ett färdig-anpassat
    detekteringssystem
  • Ofta unika tjänster
  • Användarnas beteende varierar
  • Kan ta ca två veckor att anpassa ett enkelt
    nätverksbaserat IDS till ett specifikt system och
    då får man inaktivera regler som kan vara
    intressanta

30
Möjligheter 2
  • Automatisk justering av IDS
  • vilka regler är intressanta för mitt system?
  • vilka regler ger för mycket falsklarm?
  • (exjobbare kollar på detta)
  • Förbered systemet genom att träna det på
    syntetiska data
  • färdiganpassat IDS från början
  • kan träna det för intressanta attacker och
    situationer som inte tidigare har förekommit
  • (Barse, Kvarnström och Jonsson, 2003)

31
Problem 3
  • Detekteringsförmåga
  • Generaliseringsproblem
  • kommersiella regelbaserade system upptäcker ofta
    bara en mycket specifik instans av attacken
  • nya intrång, nya varianter och dolda intrång
    upptäcks inte
  • Bättre detektering får inte ske på bekostnad av
    fler falsklarm

32
Möjligheter 3
  • Nya detekteringsmetoder
  • Visualisering
  • Hitta mönster och avvikande beteenden
  • Använda den mänskliga hjärnansstyrka!
  • Kombinera metoder
  • måste avgöra vilka som täcker in olika områden
    bäst

33
Möjligheter 3 (forts.)
  • Kombinera anomali- och missbruks-detekering
  • använd anomalidetektering kompletterad med regler
    för att identifiera attackerna
  • missbruksdetektering kompletterad med
    anomalidetektering för att avgöra vilka larm som
    är relevanta
  • metoder som kan konstruera egna regler baserat på
    träningsdata där både attacker och normalt
    beteende finns med (t.ex. RIPPER av Lee et al.)
  • Bättre kvalité på indata
  • logdata kan täcka in attacker bättre än vad som
    görs idag

34
Problem 4
  • Skalbarhet
  • större bandbredd än 10Mbit/s på nätverket ger
    problem
  • antal regler påverkar prestanda kraftigt
  • problem med att korrelera information från många
    spridda sensorer

35
Möjligheter 4
  • Distribuera nätverkstrafik till flera sensorer
  • smart uppdelning krävs
  • (Kruegel et al. 2002)
  • Applikations-baserade IDSer
  • skydda bara viktiga/känsliga resurser i systemet
  • t.ex. webserver-IDS, mailserver-IDS, ...
  • Minska mängden indata
  • filtrera bort onödigt data
  • vad är onödigt?
  • nya datakällor

36
Problem 5
  • Mätmetoder
  • det finns ingen innehållsförteckning på
    detekteringssystem som talar om vad de klarar och
    inte klarar
  • enda seriösa IDS-jämförelsen är DARPAs och den
    har fått mycket kritik

37
Möjligheter 5
  • Gemensamma testdata
  • det går inte att jämföra resultat från IDSer som
    testats på olika data
  • egenskaper hos data påverkar detekteringsresultate
    n
  • Metoder för att generera testdata
  • syntetiska data (Barse, Kvarnström och Jonsson,
    2003)
  • Metoder för att analysera testdata
  • finns inte några enkla lösningar ännu

38
Bättre logdata för detektering
  • Bättre indata ger
  • färre falska larm
  • bättre detektering
  • mindre skalbarhetsproblem
  • Bättre täckning av attacker
  • analysera vilka spår attacker lämnar i logdata
    och undersök hur användbara spåren är
  • Filtrera bort onödiga data
  • hitta kombinationer av data som täcker in
    attacker och filtrera bort resten
  • Pågående forskning...

39
Lagar, regler och etik
40
Personlig integritet och loggning går inte ihop?
  • Personuppgiftslagen (1998)
  • personuppgifter ska endast samlas in för
    särskilda, uttryckligt angivna och berättigade
    ändamål
  • personuppgifter får inte behandlas för något
    ändamål som är oförenligt med det för vilket
    uppgifterna samlades in
  • de personuppgifter som behandlas ska vara
    adekvata och relevanta i förhållande till
    ändamålen med behandlingen
  • personuppgifter får behandlas bara om den
    registrerade har lämnat sitt samtycke
  • ...
  • Säkerhet är viktig för att skydda kundernas
    personliga integritet
  • tekniska åtgärder krävs

41
PUL och företagets intressen
  • Är IP-adress en personuppgift?
  • oklart, men EU-kommissionen anser det
  • en person kan i vissa fall identifieras
  • Är behandling tillåten?
  • om företagets intresse tydligt överväger kundens
    intresse av skydd av den personliga integriteten
  • upptäcka/förebygga brott skulle kunna berättiga
    behandling
  • finns ingen praxis
  • Krävs samtycke?
  • inte om företaget har berättigat intresse
  • oklart om kunderna måste informeras

42
Forskning
  • För forskning inom bedrägeri- och
    intrångsdetektering behövs data
  • Oklart om man får dela med sig av logdata från
    datorsystem/tjänster
  • hur kan man avidentifiera data?
  • Honeypots
  • lura angriparen till att begå brott för att
    kunna övervaka
  • spridd användning, men oklart om lagligt
  • håller troligtvis inte i rättegång

43
Framtiden
44
Framtiden
  • IDS blir som antivirusprogram?
  • Övervakning av datorsystem behövs
  • vi kan inte betrakta dem som en svart låda
  • Datorsystemen sprids alltmer och allt viktigare
    funktioner i samhället datoriseras
Write a Comment
User Comments (0)
About PowerShow.com